Prinsip Dasar Pembatasan Transfer Lintas Batas
UU PDP mengakui bahwa transfer data pribadi ke luar negeri membawa risiko tambahan—regulasi di negara tujuan mungkin kurang ketat daripada di Indonesia, law enforcement di negara lain dapat menuntut akses ke data tanpa due process yang memadai, atau standar keamanan data di negara tujuan mungkin lebih rendah. Oleh karena itu, Pasal 56-61 UU PDP membatasi transfer data lintas batas ke tiga mekanisme yang sah:
(1) transfer ke negara yang memiliki perlindungan setara,
(2) transfer dengan safeguard yang memadai, atau
(3) transfer berdasarkan explicit consent dari subjek data. Transfer data lintas batas tanpa memenuhi salah satu dari ketiga mekanisme ini merupakan pelanggaran berat UU PDP.
Mekanisme 1: Perlindungan Setara (Adequacy Decision)
Pasal 56 UU PDP memungkinkan transfer data ke negara yang telah diputuskan oleh Komisi Informasi (KOMINFO) atau badan lain yang ditugaskan sebagai memiliki "tingkat perlindungan yang setara" dengan UU PDP. Perlindungan setara berarti bahwa negara tujuan memiliki:
(1) undang-undang data protection yang substansial,
(2) independent regulator atau enforcement authority,
(3) standar keamanan yang comparable,
(4) mechanism untuk subjek data memaksimalkan hak mereka (akses, koreksi, penghapusan), dan
(5) tidak ada surveillance government yang arbitrary atau excessive.
Hingga saat ini, Indonesia belum mengeluarkan daftar formal negara yang dianggap memiliki perlindungan setara. Namun, negara-negara yang telah diakui oleh EU (Uni Eropa) sebagai adequate—seperti Switzerland, Japan, Canada, beberapa negara di ASEAN dengan data protection laws yang comparable—mungkin dalam waktu dekat akan diakui oleh Indonesia juga. Organisasi harus memantau pengumuman KOMINFO atau LPDP untuk daftar official negara dengan perlindungan setara.
Mekanisme 2: Safeguard yang Memadai (Appropriate Safeguards)
Untuk negara yang tidak memiliki perlindungan setara, transfer dapat dilakukan dengan safeguard yang memadai. Safeguard yang diakui UU PDP mencakup:
(1) Standard Contractual Clauses (SCC) atau model kontrak yang telah disetujui oleh LPDP atau badan competent authority lainnya,
(2) Binding Corporate Rules (BCR) untuk transfer antar-subsidiary dalam satu corporate group,
(3) approved codes of conduct atau certification frameworks,
(4) data processing agreements yang ketat yang memastikan processor di negara tujuan memberikan tingkat perlindungan yang equivalent.
Standard Contractual Clauses yang biasa digunakan adalah model SCC dari EU (yang sering diadopsi oleh vendor SaaS internasional untuk customer di berbagai yurisdiksi), meskipun LPDP Indonesia mungkin pada waktunya akan mengembangkan model SCC Indonesia yang lebih spesifik. Binding Corporate Rules adalah opsi untuk multinational corporations yang mentransfer data antar subsidiary—BCR harus diapprove oleh LPDP dan harus memastikan bahwa tingkat perlindungan di semua subsidiary adalah sama atau lebih tinggi dari parent country.
Transfer Data ke Vendor Cloud Internasional (AWS, Azure, GCP)
Salah satu pertanyaan compliance paling umum adalah: apakah saya boleh menggunakan AWS, Microsoft Azure, atau Google Cloud Platform jika datacenter mereka ada di luar negeri? Jawabannya adalah: yes, dengan conditions. Organisasi dapat menggunakan cloud provider internasional jika:
(1) Provider telah menandatangani Data Processing Agreement (DPA) yang memenuhi standar UU PDP—DPA harus mengalokasikan tanggung jawab antara controller (organisasi) dan processor (cloud provider), membatasi penggunaan data hanya untuk purpose yang disepakati, memastikan keamanan yang memadai, dan memungkinkan audit/inspection dari controller.
(2) Provider memiliki Standard Contractual Clauses atau safeguard lain yang sesuai untuk transfer lintas batas data dari Indonesia ke negara di mana datacenter berada.
(3) Jika data yang diproses termasuk data spesifik (health, biometric, anak), safeguard harus ditingkatkan—mungkin diperlukan additional contractual clauses atau technical measures seperti encryption yang cloud provider tidak memiliki akses ke key (end-to-end encryption).
Praktik terbaik adalah:
(1) review DPA yang ditawarkan cloud provider untuk memastikan mencakup semua requirements UU PDP,
(2) conduct transfer impact assessment untuk mengidentifikasi risiko transfer ke negara tujuan,
(3) implement technical measures tambahan jika diperlukan (encryption, access controls),
(4) memastikan bahwa dalam privacy policy disebutkan dengan jelas bahwa data disimpan di cloud provider di negara tertentu, dan
(5) memastikan bahwa subjek data memberikan informed consent untuk transfer ini (jika consent adalah basis hukum).
Transfer Data ke SaaS dan Business Tools (Salesforce, HubSpot, Workday)
Banyak organisasi menggunakan Software-as-a-Service (SaaS) untuk HR (Workday, BambooHR), CRM (Salesforce, HubSpot), atau project management (Jira, Monday.com) yang operator-nya berbasis di luar negeri (misalnya, USA). Untuk menggunakan SaaS ini secara compliant dengan UU PDP:
(1) Verify bahwa SaaS provider telah menandatangani DPA atau telah memasukkan terms tentang data protection dalam Terms of Service mereka. Kebanyakan SaaS vendor besar sekarang menawarkan DPA yang comprehensive.
(2) Understand di mana data disimpan—apakah disimpan di multiple region, dan apakah customer dapat memilih region? Beberapa SaaS provider mengizinkan customer memilih region EU atau APAC untuk kepatuhan regulasi lokal.
(3) Assess jenis data yang akan disimpan di SaaS—jika hanya marketing data atau general customer contact info, transfer risk lebih rendah; jika termasuk data karyawan, data finansial, atau data spesifik lainnya, risk lebih tinggi.
(4) Implement access controls—pastikan hanya authorized staff yang dapat mengakses SaaS dan data di dalamnya.
(5) Conduct due diligence tentang sub-processor—apakah SaaS provider sendiri menggunakan vendor pihak ketiga untuk storage, backup, atau analytics, dan apakah mereka juga under DPA yang ketat?
| PENTING | Transfer data adalah salah satu area paling rawan compliance di UU PDP, terutama untuk organisasi yang menggunakan banyak cloud services dan SaaS. Banyak pelanggaran UU PDP timbul bukan dari kurangnya consent atau keamanan, tetapi dari transfer data tanpa safeguard yang memadai. Audit internal harus mencakup mapping lengkap dari semua sistem dan vendor yang mengakses data pribadi, lokasi geografis dari data, dan basis hukum untuk setiap transfer. |
Transfer Impact Assessment (TIA)
Untuk transfer data lintas batas yang melibatkan data spesifik atau volume besar, organisasi harus melakukan Transfer Impact Assessment (TIA) yang sistematis. TIA adalah proses evaluasi risiko yang mengidentifikasi:
(1) jenis data yang akan ditransfer,
(2) volume data dan jumlah subjek data,
(3) lokasi geografis negara tujuan dan regulasi di negara tersebut,
(4) kemungkinan akses oleh law enforcement atau government di negara tujuan tanpa proper legal process,
(5) tingkat keamanan data di negara tujuan,
(6) hak-hak subjek data di negara tujuan (apakah dapat memaksimalkan hak akses, koreksi, penghapusan?), dan
(7) mitigating measures yang dapat diterapkan untuk mengurangi risk (encryption, access controls, contractual restrictions).
Organisasi harus mendokumentasikan TIA secara detail dan periodic review TIA setiap tahun atau ketika ada perubahan signifikan dalam transfer (misalnya, perubahan storage location, penambahan jenis data yang ditransfer, atau perubahan dalam kontrol akses). TIA harus disimpan sebagai evidence compliance dan dapat ditunjukkan kepada LPDP jika ada investigasi.
Larangan Transfer dalam Kondisi Tertentu
UU PDP secara tegas melarang transfer data ke negara-negara yang tidak memberikan perlindungan yang adequate dan tidak ada safeguard yang memadai. Dalam praktik, ini berarti organisasi harus hati-hati ketika mentransfer data ke negara yang memiliki:
(1) tidak ada data protection law atau enforcement yang weak,
(2) akses government yang extensive terhadap data pribadi untuk surveillance,
(3) tidak ada independent regulator untuk perlindungan data,
(4) tidak ada rule of law atau judicial independence.
Namun, transfer dapat dilakukan untuk negara apapun jika ada explicit consent dari subjek data. Explicit consent untuk transfer harus very clear—bukan bundled dengan consent untuk hal lain, dan harus mencakup informasi spesifik tentang risiko transfer (misalnya, "Data Anda akan disimpan di USA di mana law enforcement dapat meminta akses dengan subpoena, dan perlindungan data di USA lebih lemah daripada di Indonesia"). Explicit consent harus dibuktikan dengan dokumentasi yang detail.
Transfer Antar-Subsidiary dan Intra-Group Transfers
Multinational corporations sering mentransfer data dari subsidiary Indonesia ke parent company atau sister company di luar negeri. Transfer ini diizinkan dengan Binding Corporate Rules (BCR). BCR adalah set of policies dan procedures yang mengikat seluruh corporate group untuk memberikan tingkat perlindungan yang uniform di semua subsidiary. BCR harus:
(1) Diadopsi secara formal oleh corporate leadership (CEO, board approval).
(2) Mencakup policy tentang tujuan pemrosesan, data minimization, retention, keamanan, dan subjek data rights.
(3) Memastikan bahwa setiap subsidiary memberikan tingkat perlindungan yang sama atau lebih tinggi daripada parent country.
(4) Mencakup mekanisme untuk subjek data menjalankan hak mereka di mana pun mereka berada dalam corporate group.
(5) Disetujui oleh LPDP sebelum dapat diimplementasikan. (6) Di-audit secara berkala untuk memastikan compliance.
| WAWASAN BITLION | Kami telah melihat banyak multinational corporations yang tidak menyadari bahwa transfer dari subsidiary Indonesia mereka ke headquarters di USA/Eropa memerlukan formal BCR approval. Mereka menganggap bahwa karena subsidiary adalah bagian dari group yang sama, transfer dapat dilakukan bebas. Ini adalah misconception yang serius—BCR harus formal dan diapprove. Jika tidak ada BCR, organisasi harus mengandalkan SCC atau explicit consent untuk setiap transfer, yang jauh lebih burdensome untuk large-scale data transfers. |
Data Residency dan Local Storage Requirements
Beberapa negara dan industri memiliki data residency requirements—persyaratan bahwa data tertentu harus disimpan di dalam negara. Untuk Indonesia, belum ada universal data residency requirement untuk semua data. Namun, untuk data tertentu, mungkin ada requirements spesifik:
(1) Data keuangan—Bank Indonesia dan OJK mungkin mengatur bahwa data keuangan tertentu harus tersimpan di Indonesia.
(2) Data kesehatan—UU Kesehatan dan Kemenkes mungkin mengatur bahwa data pasien kesehatan harus tersimpan di server Indonesia atau at least accessible untuk inspeksi.
(3) Data telekomunikasi—Kominfo dan BRTI mungkin mengatur bahwa data traffic telekomunikasi harus tersimpan di Indonesia. Organisasi yang beroperasi dalam industri ini harus memahami persyaratan data residency spesifik yang berlaku dan memastikan bahwa infrastruktur mereka compliant (misalnya, menggunakan datacenter lokal atau regional APAC dengan local backup).
Tabel berikut menunjukkan analisis transfer data untuk berbagai skenario:
| Skenario Transfer | Negara Tujuan | Jenis Data | Mekanisme Legal | Safeguard Minimal |
|---|---|---|---|---|
| Customer data ke AWS | USA (Virginia/Singapura) | Customer name, email, payment info | DPA + SCC dari AWS | Encryption at rest, TLS in transit, audit log |
| Employee records ke HQ | Singapura/USA | Name, salary, performance review, health data | BCR atau explicit consent | Encryption, access control to HR only, annual TIA |
| Marketing data ke HubSpot | USA | Customer contact, interaction history | DPA + SCC dari HubSpot | Encryption, restricted access, retention policy |
| Research data ke university | UK/Singapore | Genetic/health data dari research subjects | Explicit consent + Ethics approval | De-identified if possible, encrypted, access log |
| Payment processor integration | USA/Singapore | Payment card data, billing address | PCI-DSS compliance + DPA | Tokenization, no raw card data stored, audit |
| Backup to regional datacenter | Singapore APAC region | All operational data | Regional DPA + encryption | Failover capability, retention policy, disaster recovery |
Compliance Checklist untuk Transfer Data Lintas Batas
Organisasi yang melakukan transfer data lintas batas harus memastikan:
(1) Inventory semua transfer—document setiap sistem, vendor, atau proses yang melibatkan transfer data ke luar negeri.
(2) Identify basis hukum—untuk setiap transfer, identify apakah berdasarkan adequacy decision, appropriate safeguard, atau explicit consent.
(3) Review contracts—DPA dengan vendor, SCC terms, atau BCR harus reviewed oleh legal untuk memastikan compliant.
(4) Conduct TIA—untuk transfer yang melibatkan data spesifik atau volume besar, conduct formal Transfer Impact Assessment.
(5) Implement technical measures—encryption, access control, audit log harus diterapkan untuk transfer data spesifik atau sensitive.
(6) Update privacy notice—privacy policy harus disclose transfer data dan negara tujuan.
(7) Document consent—jika explicit consent adalah basis, ensure proper documentation dari consent.
(8) Monitor dan review—annually review semua transfer untuk memastikan basis hukum masih valid dan safeguard masih adequate.
Tabel berikut menunjukkan documentation requirements untuk setiap jenis transfer:
| Jenis Transfer | Dokumen Wajib | Review Frequency | Owner/Responsibility |
|---|---|---|---|
| Ke negara dengan adequacy decision | Formal adequacy decision + contract | Yearly atau saat ada perubahan | Legal + DPO |
| Dengan SCC | Signed SCC + vendor DPA + TIA | Yearly + incident-based | Procurement + Legal + DPO |
| Dengan BCR | Formal BCR approval + BCR documentation + annual audit | Yearly audit | Corporate Compliance + Regional DPO |
| Berdasarkan explicit consent | Consent record + documentation + privacy notice | Yearly | Legal + DPO + Marketing |
| Ke cloud provider | DPA + security certification (SOC2, ISO27001) + TIA | Yearly + security audit | IT + Security + DPO |
| Intra-group subsidiary transfer | BCR atau explicit consent + inter-company agreement | Yearly | Corporate + Regional entities |